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Kleine Anfrage 

des Abgeordneten Dr. Manuel Kiper und der Fraktion BÜNDNIS 90/DIE GRÜNEN 


Lage der IT-Sicherheit in Deutschland 


Mit der Verbreitung von Computersystemen und der steigenden 
Abhängigkeit von der Informationstechnik wächst auch die Ein- 
sicht, wie wichtig deren Sicherheit - die IT-Sicherheit - für das 
reibungslose Funktionieren vieler Bereiche ist. Zwar werden über 
zwei Drittel der Störungen an Computern weiterhin durch Mängel 
in den eingesetzten Softwareprodukten hervorgerufen, doch wird 
die Gefahr durch manipulative Eingriffe in Computersysteme von 
außen mittlerweile ernst genommen. Doch auch das gestiegene 
Bewußtsein um IT- Sicherheitsgefahren hat nicht zu einer Ver- 
besserung der Sicherheitslage geführt. Es ist im Gegenteil zu be- 
obachten, daß durch neue Verfahren in Softwareprodukten zu- 
sätzliche Gefahren hervorgerufen werden, die eigentlich beim 
erreichten Wissensstand um IT- Sicherheitsprobleme zu vermei- 
den gewesen wären. 

Zu den immer noch nicht beseitigten Problemen zählt, daß bei der 
Installation von Software Dateien mit neuen Konfigurationsdaten 
unkontrolliert überschrieben und damit bisweilen unbrauchbar 
gemacht werden. Ein Sicherheitsproblem entsteht bei der Instal- 
lation des Betriebssystems Windows 95, das Daten über die beim 
jeweiligen Nutzer Vorgefundenen Systemeigenschaften und Soft- 
ware sammelt und die Daten bei der Anmeldung in das Microsoft 
Network an den Hersteller übermittelt, sofern dies nicht explizit 
unterbunden wird. Neue Softwaretechnologien führen zusätzlich 
zu einer deutlichen Steigerung der Manipulationsmöglichkeiten. 
Die Programmiersprache Java und die Netzwerk- Softwaretech- 
nologie Active-X - als aktuelle Beispiele - verändern Daten und 
Programme auf den Computersystemen von Internet-Nutzern be- 
reits bei bestimmungsgemäßer Anwendung ohne deren Zutun 
und oft auch ohne ihre Einwilligung und können damit Schäden 
bewirken. Die Defizite in den Sicherheitsmechanismen dieser 
Technologien eröffnen in unterschiedlich starker Weise für miß- 
bräuchliche Nutzung Tür und Tor. 

Mit dem Zweiten Gesetz zur Bekämpfung der Wirtschaftskri- 
minalität wurden 1986 die Manipulation von Daten und die 
Störung des Betriebs von Datenverarbeitungsanlagen unter 
Strafe gestellt. Gedacht waren diese Rechtsnormen für sog. 
„Hackerdelikte", also vor allem das gezielte Ausspähen von 
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Daten. Ebenso wurde aber auch der Verlust von Integrität und 
Verfügbarkeit der Daten, die durch Computerviren, aber auch 
andere Eingriffe und Manipulationen, verursacht werden, unter 
Strafe gestellt. So wurde explizit von einer „Unbrauchbarkeit" von 
Daten ausgegangen, wenn sie „z.B. durch zusätzhche Einfügun- 
gen" nicht mehr ordnungsgemäß verwendet werden können 
(Drucksache 10/5058, S. 35). Die Strafbarkeit einer Veränderung 
von Daten nach § 303 a StGB ist ein weitreichender Tatbestand, 
der oftmals schon bei der Installation neuer Software Anwendung 
finden könnte. Neue Softwaretechniken sind in immer stärkerer 
Weise geeignet, mit diesem Gesetz in Konfhkt zu geraten. Gleich- 
zeitig zeigt aber allein die Zahl von nur 66 Ver- bzw. Abgeurteilten 
zwischen 1987 und 1993, daß derartige Probleme derzeit juristisch 
unbewältigt bleiben. 

IT-Sicherheitsexperten betonen heute, daß jeder Kontakt von 
Computersystemen mit der Außenwelt - sei es durch die Installa- 
tion neuer Software oder durch den Anschluß eines Computer- 
systems an ein elektronisches Netzwerk - zu Sicherheitsrisiken 
führt. Der von der Bundesregierung angestrebte Weg in die Infor- 
mationsgesellschaft ist dagegen durch die intensive Vernetzung 
verschiedenster Computerressourcen gekennzeichnet und damit 
durch die Potenzierung der Sicherheitsrisiken. Obwohl bis heute 
weder das Problembewußtsein für das Design zuverlässiger Soft- 
ware deutlich gestiegen ist noch andere lange bekannte Probleme 
der IT- Sicherheit gelöst sind, baut diese Gesellschaft in immer 
stärkerem Maße auf diese Technik. So große Mängel bei Zuver- 
lässigkeit und Sicherheit würden bei keiner anderen ähnlich be- 
deutenden Technologie akzeptiert. Ein fundiertes Konzept der 
Bundesregierung zur Absicherung der auf der störungsfreien 
Funktion von IT-Systeme beruhenden Gesellschaft ist dabei nicht 
erkennbar. Die Debatte um die Regelung von Kryptierverfahren 
gefährdet überdies die Entwicklung und Nutzung neuartiger 
Sicherungstechniken. 

Wir fragen die Bundesregierung: 

1. Wie viele Ermittlungsverfahren nach § 202 a StGB (Compu- 
terspionage) und § 263 a StGB (Computerbetrug) wurden in 
den Jahren 1995 und 1996 

a) durchgeführt, 

b) wie viele Anklagen und Aburteilungen resultierten daraus, 
und 

c) welche Schäden wurden nach Schätzung der Bundesregie- 
rung dadurch verursacht? 

2. Zu wie vielen Ab- und Verurteilungen wegen § 303 a und 
§ 303 b StGB (Computer-Sabotage) kam es in den Jahren 1995 
und 1996, und in wie vielen Fällen wurde dabei die Verbrei- 
tung von Software zur Veränderung von Daten (Computer- 
viren etc.) geahndet? 

3. Gab es nach Kenntnis der Bundesregierung bei der Installa- 
tion von Software sowohl bei Bundesbehörden als auch bei 
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privaten Nutzern Fälle, in denen der Installationsvorgang 
zu strafrechtlich relevanten Eingriffen in Computersysteme 
führte, und wenn ja, um welche Fälle handelte es sich? 

4. Sind der Bundesregierung in diesem Zusammenhang Vorfälle 
bekannt geworden, in denen es - etwa durch die Verbreitung 
von Computerviren bei der Installation oder ähnliches - auf- 
grund mangelhafter Qualitätskontrolle zu ungewollten Ein- 
griffen kam, und wenn ja, um welche Fälle handelte es sich? 

5. Sind der Bundesregierung Fälle bekannt, in denen es durch 
die Nutzung der Java- oder Active-X-Technologie zu straf- 
rechtlich relevanten Eingriffen in Computersysteme oder zur 
Ausspähung von Daten gekommen ist, und wenn ja, um 
welche Fälle handelte es sich und, welche Schäden sind da- 
durch entstanden? 

6. Bei welchen Bundesbehörden wurde das Betriebssystem 
Windows 95 installiert, und wurden dessen Merkmale und 
Gefährdungspotentiale vor der Installation analysiert? 

7. Wie viele dieser Systeme sind an ein mit der Außenwelt ver- 
bundenes elektronisches Netz angeschlossen, und wie wird 
dabei mit den von Windows 95 gesammelten Nutzerdaten 
verfahren? 

8. Welche Entwicklung hat - seit der Antwort der Bundesregie- 
rung auf eine Kleine Anfrage zur IT-Sicherheit (Drucksache 
13/4105, Frage 22) - die Nutzung von Firewalls zum Schutz 
von Computersystemen bei Bundesbehörden genommen? 

9. Gab es bei den Analysen des Bundesrechnungshofs (vgl. 
Drucksache 13/4105, Frage 24) Bewertungsergebnisse, nach 
denen ein Datenaustausch zwischen Behörden nicht den 
Sicherheitserfordemissen entsprach, und um welche Fälle 
ging es dabei? 

10. Für welche Schutzstufe sind die im Informations verbünd 
Bonn -Berlin genutzten Systeme zum elektronischen Daten- 
austausch zugelassen? 

1 1 . Welche Sicherheitsanalysen gab es zur Nutzung dieser Systeme 
für verschiedene Schutzstufen, und für welche Schutzstufen 
wurden sie danach zugelassen, für welche nicht? 

12. Ist die Bundesregierung der Ansicht, daß nichtöffentliche 
Stellen in der Lage sind, elektronischen Datenaustausch mit 
vergleichbarer oder höherer Sicherheit als Bundesbehörden 
zu bewerkstelligen, und hält die Bundesregierung ihre Sicher- 
heitsanalysen auf nichtöffentliche Stellen für übertragbar? 

13. Gab es - auch wenn der Nachweis eines Eindringens nicht 
geführt werden konnte - Verdachtsmomente für ein Eindrin- 
gen von Hackern in das Computersystem eines Ministeriums, 
einer Behörde oder eines Amtes im Verantwortungsbereich 
des Bundes, und um welche Einrichtungen handelte es sich 
dabei? 
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14. Wie viele Fälle von versuchtem Eindringen in Computer- 
systeme eines Ministeriums, einer Behörde oder eines Amtes 
im Verantwortungsbereich des Bundes gab es nach Kenntnis 
der Bundesregierung in den letzten fünf Jahren, und in wel- 
chem Verhältnis stehen diese Zahlen zu den aus den USA 
bekannten Vergleichswerten? 

PC-Sicherungstechnik 

15. Wie viele Beanstandungen der IT-Sicherheit bei der Verarbei- 
tung von personenbezogenen Daten gab es in den letzten fünf 
Jahren durch Datenschutz-Kontrollinstanzen oder den Bun- 
desrechnungshof, und welche Konsequenzen wurden daraus 
gezogen? 

16. Welche Systeme sind der Bundesregierung bekannt, die PC mit 
den dafür verfügbaren Betriebssystemen technisch und organi- 
satorisch gegen unbefugte Nutzung absichern und die Nutzung 
dieser Systeme revisionsfähig machen, d. h. solche, die zumin- 
dest eine durch Paßwort geschützte Identifikationsprozedur be- 
nötigen, aber auch Systeme, die erweiterten Schutz durch Ver- 
schlüsselungsmechanismen bieten? 

17. Welches Marktvolumen haben derzeit nach Kenntnis der 
Bundesregierung IT- Sicherheitssysteme, und in welche An- 
gebotsgruppen - Beratung, Software etc. - läßt sich dies ein- 
teilen? 

18. Welche davon haben ein Sicherheitszertifikat des Bundes- 
amtes für Sicherheit in der Informationstechnik (BSI) oder 
gleichwertiger Stellen? 

19. Wie viele der (It. Antwort der Bundesregierung in Drucksache 
13/3408, Frage 7) 65 000 der in der Bundesverwaltung unter 
dem Betriebssystem MS-DOS oder dessen Derivaten einge- 
setzten PC- Systeme sind mit derartigen Schutzsystemen ge- 
gen unbefugte Nutzung ausgestattet, und welche Systeme 
werden dabei eingesetzt? 

20. Auf wie vielen dieser PC-Systeme, die nicht mit Schutzsy- 
stemen ausgestattet sind, werden personenbezogene Daten 
verarbeitet, und auf welche Weise findet dort eine Sicherung 
gegen unbefugte Nutzung statt? 

21. Wie viele portable Computersysteme (Laptops, Notebooks, 
Palmtops etc.) sind jeweils in welchen Bundesbehörden im 
Einsatz, auf wie vielen dieser Systeme werden personenbe- 
zogene Daten gespeichert, und wie werden diese Systeme 
gegen unbefugte Nutzung gesichert? 

Digitale Vermittlungsstellen und ISDN-Anlagen 

22. Welche in der ZDF-Sendung „Mit mir nicht" vom 26. März 
1997 gezeigten Sicherheitsprobleme bei der Nutzung compu- 
tergesteuerter Telekommunikations-Vermittlungsrechner so- 
wohl bei digitalen Vermittlungsstellen als auch bei Neben- 
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Stellenanlagen sind der Bundesregierung bekannt, und wie 
lange verfügt sie bereits über derartige Erkenntnisse? 

23. Welche Manipulationsfälle bei derartigen Systemen sind der 
Bundesregierung bekannt geworden, welche Schäden ent- 
standen dabei, und bei wie vielen kam es zu Ermittlungs- 
verfahren bzw. Anklagen? 

24. Gab es in den vergangenen Jahren auch vergleichbare Mani- 
pulationsfälle an digitalen Vermittlungsstellen der Deutschen 
Telekom AG? 

25. Wie häufig wurde von der Deutschen Telekom AG eine auf 
Verschlüsselungsbasis arbeitende „ intelligente TAE-Dose " 
eingesetzt, um Manipulationen an Telefonleitungen und -an- 
schlüssen zu unterbinden? 

26. Wie hoch ist der Schaden zu beziffern, der der Deutschen 
Telekom AG durch Manipulationen an Servicerufnummem 
entstanden ist? 

27. Seit wann ist der Bundesregierung bekannt, daß ISDN- An- 
lagen anfällig gegen unautorisierte Zugriffe von außen und die 
Manipulation von Leistungsmerkmalen sind, und welche 
Konsequenzen hat sie daraus für Anlagen gezogen, die sowohl 
in Stellen der Bundesverwaltung eingesetzt werden, in denen 
Vorgänge der Schutzklasse I (VS-NfD, personenbezogene 
Daten, sensitive Informationen) als auch der Schutzklasse II 
(VS- Vertraulich und höher) bearbeitet werden? 

28. In welcher Weise hat die Bundesregierung ihre Kenntnisse 
den betroffenen Nutzern derartiger Anlagen aus dem nicht- 
öffentlichen Bereich weitergegeben? 

29. Welche Gefährdungen durch Manipulationen an ISDN-An- 
lagen drohen nach Ansicht und Kenntnis der Bundesregierung 
in besonders sensitiven Einrichtungen wie den Bundes- 
ministerien einschließlich des Bundeskanzleramts, insbeson- 
dere aber den ISDN-Netzen der Bundeswehr und der Polizei- 
behörden? 

30. Sind der Bundesregierung Manipulationen oder Versuche 
dazu an Systemen der Bundesverwaltung bzw. den ISDN- 
Netzen der Bundeswehr und der Polizeibehörden zur Kenntnis 
gelangt? 

31. Durch wen wurden in der Bundesverwaltung Prüfungen von 
ISDN-Anlagen vorgenommen, und zu welchen Ergebnissen 
sind diese im einzelnen gekommen? 

32. Welche über die Studie „Gefährdungen und Sicherheitsmaß- 
nahmen beim Betrieb von digitalen Telekommunikations- 
anlagen" hinausgehenden Ergebnisse des BSI liegen derzeit 
vor, und an welchen entsprechenden Projekten finden Arbei- 
ten statt? 
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Strafrechtliche Bewältigung 

33. Welche Bedeutung hat nach Ansicht der Bundesregierung die 
strafrechthche Bewältigung der Manipulation von Computer- 
systemen, und wo hat diese ihre Grenzen? 

34. Hält die Bundesregierung die bestehenden Gesetze ange- 
sichts der verfügbaren und absehbaren Softwaretechnologie 
für ausreichend und präzise genug, oder sieht die Bundes- 
regierung Änderungsnotwendigkeiten an diesen Gesetzen? 

35. Hat das BSl jemals das Verhalten von Software auf mögliche 
strafrechtliche Relevanz hin überprüft, und zu welchen Er- 
gebnissen führte dies, insbesondere wurde die Öffentlichkeit 
informiert? 

36. Gab es in der Bundesverwaltung Fälle, bei denen aus einer 
Veränderung von Daten bzw. eines Eingriffs in eine Daten- 
verarbeitungsanlage von wesentlicher Bedeutung juristische 
Konsequenzen gezogen wurden - wenn ja, um welche Fälle 
handelte es sich? 

37. In welcher Weise beteiligt sich die Bundesregierung am 
„Ständigen Komitee für Informationstechnologie" der Finan- 
cial Crime Subdivision der Division II des Interpol-General- 
sekretariats (vgl. Öffentliche Sicherheit 3/97, S. 24), und 
welche Aufgaben hat dieses Komitee? 

38. Besteht in der Bundesrepublik Deutschland ein der President's 
Commission on Critical Infrastructure Protection (PCCIP) der 
USA vergleichbares Gremium, und wenn nicht, wie bewertet 
die Bundesregierung den Nutzen einer solchen Einrichtung 
für die Bundesrepublik Deutschland? 

Forschung und Aufklärung 

39. Welche Forschungs- und Entwicklungsarbeiten zur Sicherheit 
in Computernetzen und Sicherung von Computersystemen 
unterstützt die Bundesregierung über die Förderung des Bun- 
desministeriums für Bildung, Wissenschaft, Forschung und 
Technologie hinaus, welche Ziele werden angestrebt, und 
welche Ergebnisse sind dabei besonders hervorzuheben? 

40. Welche zusätzlichen Aktivitäten verfolgt die Bundesregierung 
zum Schutz vor Problemen der IT- Sicherheit? 

41. Welche Informationsmöglichkeiten zur IT-Sicherheit für In- 
formationstechnik-Anwender sind der Bundesregierung be- 
kannt, und in welcher Weise unterstützt sie diese? 

42. Wie weit ist die Vorbereitung des Informationsservers des BSI 
für das Internet gediehen (vgl, Drucksache 13/3408, Frage 7)? 

43. Um welche Fälle, in denen das BSI zum Teil eklatante Mängel 
in der IT-Sicherheit bei elektronischen Zahlungsverfahren 
aufgedeckt und den Betreibern mitgeteilt hat und auf die sich 
der Bundesminister des Innern, Manfred Kanther, in seiner 
Eröffnungsrede des 5. IT-Sicherheitskongresses bezog, han- 
delte es sich? 
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44. In welcher Weise fließen Erkenntnisse aus Fachkreisen und 
Gremien zur IT-Sicherheit in die Beratungen und Entschei- 
dungen der Bundesregierung ein, und um welche Gremien 
handelt es sich dabei? 

Verschlüsselung 

45. In welchem Umfang werden nach Kenntnis der Bundesregie- 
rung in der Bundesrepublik Deutschland Verschlüsselungs- 
verfahren genutzt? 

46. Welcher Anteil an der Nutzung von Verschlüsselungs- 
verfahren entfällt nach Kenntnis der Bundesregierung dabei 
jeweils auf Unternehmen, Behörden und Privatpersonen? 

47. Wie hoch ist nach Einschätzung und Kenntnis der Bundes- 
regierung bei Privatpersonen der Anteil solcher Verfahren, die 
mit entsprechendem Aufwand nicht zu entschlüsseln sind? 

48. Welcher Aufwand ist nach Kenntnis der Bundesregierung 
nötig, um mit asymmetrischen Verfahren verschlüsselte Daten 
mit Schlüssellängen von 40, 56 und 128 Bit zu entschlüsseln, 
und wie groß ist nach Auffassung der Bundesregierung die für 
eine Verschlüsselung sensitiver Daten hinreichende Schlüs- 
sellänge für eine - auch über die nächsten fünf Jahre - sichere 
Übermittlung? 

49. Bei wie vielen Ermittlungsverfahren kam es nach Erkenntnis- 
sen der Bundesregierung zu Behinderungen der Ermittlungs- 
tätigkeit, weil Verschlüsselungsverfahren eingesetzt wurden 
- aufgeschlüsselt nach Behinderungen durch verschlüsselte 
Kommunikation und Nutzung von Verschlüsselungsverfahren 
zur Datenspeicherung? 

50. In welcher Beziehung hält die Bundesregierung den 
„ Sicherheits wert steganographischer Verfahren" für über- 
schätzt, wie der Bundesminister des Innern, Manfred Kanther, 
in seiner Eröffnungsrede des 5. IT-Sicherheitskongresses er- 
klärte? 

51. Welcher Sicherheits wert kann nach Auffassung der Bundes- 
regierung Verschlüsselungsverfahren zugemessen werden, 
die auf PC-Systemen instalhert sind, die ansonsten nicht 
gegen unbefugte Eingriffe geschützt sind? 

52. Welcher Sicherheitswert kann nach Auffassung der Bundes- 
regierung Verschlüsselungsverfahren zugemessen werden, 
bei denen der Schlüssel auf Chipkarten gespeichert ist und 
damit die Analyse durch die „Differential Fault Analysis" 
erlauben? 

53. Welcher Sicherheits wert ist nach Auffassung der Bundes- 
regierung somit der Nutzung von Verschlüsselungsverfahren 
durch Nichtspezialisten zuzumessen, zumal weitere Eingriffs- 
möghchkeiten in derartige Verfahren bekannt sind? 

Bonn, den 25. April 1997 

Dr. Manuel Kiper 

Joseph Fischer (Frankfurt), Kerstin Müller (Köln) und Fraktion 
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